Close

Zgłaszanie luki w zabezpieczeniach


Jeśli uważasz, że udało Ci się wykryć problem z bezpieczeństwem zgodny z definicją luki w zabezpieczeniach Atlassian, prześlij zgłoszenie do naszego zespołu ds. bezpieczeństwa, korzystając z jednego z poniższych sposobów.

Nie jesteśmy w stanie reagować na zbiorcze raporty generowane przez zautomatyzowane skanery. Jeśli wykryjesz problemy przy użyciu zautomatyzowanego skanera, zalecamy przed przesłaniem zgłoszenia o luce w zabezpieczeniach do Atlassian zlecenie ich analizy specjaliście ds. bezpieczeństwa, aby się upewnić, że wyniki faktycznie są istotne.

Jeśli jesteś klientem:

Jeśli jesteś badaczem zabezpieczeń:

Do otrzymania nagrody kwalifikują się wyłącznie te luki w zabezpieczeniach, które zostały zgłoszone za pośrednictwem naszego programu wykrywania błędów.

W swoim zgłoszeniu uwzględnij następujące informacje:

  • rodzaj problemu (Cross-site Scripting, SQL Injection, zdalne wykonanie kodu itp.);
  • produkt zawierający błąd, łącznie z wersją, lub adres URL w przypadku usługi w chmurze;
  • potencjalny wpływ luki w zabezpieczeniach (tj. do jakich danych można uzyskać dostęp lub jakie dane można modyfikować);
  • instrukcje odtworzenia problemu krok po kroku;
  • dowolna weryfikacja koncepcji lub kod programu wykorzystującego luki wymagany do odtworzenia problemu.

Jeśli chcesz zaszyfrować swoje zgłoszenie za pomocą naszego klucza PGP, możesz go pobrać tutaj.

Definicja luki w zabezpieczeniach

Pod pojęciem luki w zabezpieczeniach Atlassian rozumie podatność jednego ze swoich produktów lub infrastruktury, która może pozwolić autorowi ataku wpłynąć na poufność, integralność lub dostępność produktu bądź infrastruktury.

Jako luki w zabezpieczeniach nie są traktowane następujące rodzaje odkryć:

  • Obecność lub brak nagłówków HTTP (X-Frame-Options, CSP, nosniff itp.). Są one uznawane za najlepsze praktyki w zakresie bezpieczeństwa, dlatego nie klasyfikujemy ich jako luk w zabezpieczeniach.
  • Brak atrybutów związanych z bezpieczeństwem w plikach cookie zawierających dane inne niż wrażliwe. Produkty Atlassian mogą ustawiać określone atrybuty związane z bezpieczeństwem w plikach cookie używanych w naszych aplikacjach. Braku takich nagłówków w plikach cookie zawierających dane inne niż wrażliwe nie uznaje się za lukę w zabezpieczeniach.
  • Uwidocznione ślady stosu. Ślady stosu same w sobie nie stanowią problemu z bezpieczeństwem. Jeśli stwierdzisz, że ślad stosu zawiera identyfikowalne dane osobowe lub treść wygenerowaną przez użytkownika, prześlij zgłoszenie, opisując szczegółowo problem.
  • Spoofing zawartości przez użytkowników administracyjnych. Zezwalamy administratorom na iniekcję kodu HTML do określonych obszarów naszych produktów w ramach ich dostosowywania, a funkcji tej nie traktujemy jako luki w zabezpieczeniach.
  • Clickjacking na stronach w Jira Server lub stronach zawierających wyłącznie zawartość statyczną. Aby uzyskać więcej informacji, zobacz https://jira.atlassian.com/browse/JRASERVER-25143.
  • Włączona lub wyłączona funkcja autouzupełniania.

Publiczne ujawnianie

Jedna z głównych dewiz Atlassian to „Otwarta firma, bez nonsensów” i wierzymy, że ujawnianie luk w zabezpieczeniach jest jej integralną częścią. W zakresie usuwania błędów zabezpieczeń dążymy do realizacji docelowych poziomów świadczenia usług, które można znaleźć tutaj, i będziemy przyjmować wnioski o ujawnienie luk złożone za pośrednictwem naszych programów wykrywania błędów po rozwiązaniu problemu i uwzględnieniu poprawki w wydaniu produkcyjnym. Jeśli jednak raport będzie zawierać jakiekolwiek informacje dotyczące instancji lub danych klienta, wniosek zostanie odrzucony. Powiadom nas odpowiednio wcześniej i poczekaj, aż minie termin określony w powiązanym docelowym poziomie świadczenia usług (SLO). Pamiętaj, że nie zapewniamy nagród w przypadku zgłoszeń przesłanych za pośrednictwem poczty elektronicznej. Jeśli szukasz naszego programu wykrywania błędów, przejdź tutaj.

Bezpieczna przystań

Kiedy badania luk w zabezpieczeniach są prowadzone zgodnie z tymi zasadami, uznajemy, że są one:

  • Dozwolone zgodnie z ustawą Computer Fraud and Abuse Act (CFAA) (i/lub podobnymi przepisami stanowymi) i nie będziemy inicjować ani wspierać postępowania sądowego przeciwko użytkownikowi w przypadku przypadkowego naruszenia tych zasad w dobrej wierze;
  • Zwolnione z przepisów ustawy Digital Millennium Copyright Act (DMCA), a my nie będziemy wnosić roszczeń przeciwko użytkownikowi w związku z obchodzeniem technicznych środków kontroli;
  • Zwolnione z ograniczeń zawartych w naszych Warunkach, które mogłyby przeszkadzać w prowadzeniu badań bezpieczeństwa, a my zrzekamy się tych ograniczeń w ograniczonym zakresie w odniesieniu do pracy wykonanej zgodnie z tymi zasadami;
  • Zgodne z prawem i przyczyniają się do ogólnego bezpieczeństwa Internetu oraz są prowadzone w dobrej wierze.

Jak zawsze, oczekuje się przestrzegania wszystkich obowiązujących przepisów prawa.
Jeśli w dowolnym momencie masz wątpliwości lub nie masz pewności, czy Twoje badania bezpieczeństwa są zgodne z tymi zasadami, skontaktuj się z nami pod adresem security@atlassian.com, a my chętnie odpowiemy na Twoje pytania.

Program wykrywania błędów

Atlassian prowadzi publiczny program wykrywania błędów w naszych produktach za pośrednictwem platformy naszego partnera — Bugcrowd. W ramach naszych programów badacze zabezpieczeń mogą otrzymać wynagrodzenie pieniężne w zamian za przesłanie do Atlassian spełniającego kryteria zgłoszenia o luce w zabezpieczeniach.

Publiczne ujawnianie

Dla Atlassian sprawą priorytetową jest usunięcie wszelkich luk w zabezpieczeniach naszych produktów w czasie określonym w naszych zasadach usuwania błędów zabezpieczeń. Aby chronić naszych klientów, przestrzegamy skoordynowanych procedur ujawniania luk w zabezpieczeniach i zwracamy się z prośbą do osób zgłaszających luki o postępowanie w ten sam sposób.